Golovna → Windows 10 Care este diferența dintre protocolul de sincronizare a timpului NTP și SNTP? Mă întreb ce este „NTP” în alte dicționare Este descris protocolul ntp.

Care este diferența dintre protocolul de sincronizare a timpului NTP și SNTP? Mă întreb ce este „NTP” în alte dicționare Este descris protocolul ntp.

În scopul egalizării valorii, zero pentru codul bilei este luat în considerare mai presus de toate celelalte valori. Dragă, valoarea maximă a unui număr întreg, codificată ca valoare de lot, este înconjurată de un parametru ntp.maxstratum.

Perioada de schimb (sys.poll, peer.hostpoll, peer.peerpoll, pkt.poll). Tot acest semn de modificare indică intervalul minim dintre notificările care sunt transmise, duratele în secunde și prezentările ca etapa 2. De exemplu, o valoare de 6 indică un interval minim de 64 de secunde

Precizie (sys.precision, peer.precision, pkt.precision). Toată această valoare este schimbată în semnul care indică acuratețea orelor în secunde și este exprimată ca pasul cel mai apropiat al numărului 2. Valoarea este rotunjită la cea mai apropiată valoare a pasului 2, de exemplu, intervalul de frecvență este 50-Hz (20 ms) sau 60 -Hz (16,67 ms) va fi setată la o valoare de -5 (31,25 ms), în timp ce frecvența de cuarț de 1000-Hz (1 ms) va fi setată la o valoare de -9 (1,95 ms).

Trim de bază (sys.rootdelay, peer.rootdelay, pkt.rootdelay). Acest număr este z comă fixă Acest semn indică durata ciclului de repetare (RTT) pe afișarea frecvenței primare, exprimată în secunde.

Varianta de baza (sys.rootdispersion, peer.rootdispersion, pkt.rootdispersion). Acest număr este z comă fixă este mai mare decât zero, ceea ce indică valoarea maximă a întârzierii până la prima explozie în secunde.

Identificator de an standard (sys.refid, peer.refid, pkt.refid). Acesta este un cod pe 32 de biți care identifică o anumită dată standard. Fiecare bilă are un 0 (nespecificat) sau o bilă 1 (standardul inițial), care este un rând ASCII de 4 octeți, aliniat la stânga și completat cu zerouri dacă este necesar, de exemplu:

Tabelul 7.4. Codurile de identificare ale anului

Minge	Cod	Semnificaţie
0	dcn	protocol de rutare dcn
0	dts	Serviciu de timp digital
0	nist	modem NIST
0	lingurita	Protocol de sincronizare linguriță
1	atom	Aniversare atomică (calibrare)
1	vlf	vlf -radio (omega, atunci)
1	indicativ	Radio Zagalne
1	GPS	Poziționarea GPS UHF a sateliților
1	lorc	loran-c radio navigatie
1	wwvb	Radio wwvb LF (banda 5)
1	merge	Satelitul merge UHF (banda 9)
1	wwv	Radio wwv HF (banda 7)

Fiecare minge are 2 și mai mult (standard secundar) - o adresă IP de 4 octeți a partenerului selectat pentru sincronizare.

Timp standard (sys.reftime, peer.reftime, pkt.reftime) - ora locală în formatul marcatorului de oră, care indică momentul corectării rămase a afișajului datei. Dacă data locală nu este sincronizată, schimbați-o la zero.

Marca temporală de bază(peer.org, pkt.org) - ora locală în formatul de marcaj de timp, care indică momentul în care a fost trimisă notificarea NTP rămasă. Dacă partenerul nu este atins, schimbarea capătă o valoare zero.

Marcatorul de oră este eliminat(peer.rec, pkt.rec) - ora locală în formatul de marcaj de timp, care indică momentul sosirii mesajului NTP rămas, respins ca partener. Dacă partenerul nu este atins, schimbarea capătă o valoare zero.

Timp de transmisie(peer.xmt, pkt.xmt) - ora locală în formatul de marcaj de timp, care indică momentul comunicării NTP.

Schimbări de sistem

Schimbările curente sunt folosite de sistemul de operare pentru a sincroniza data locală.

Zminna aniversare locală(sys.clock) arată anul local în formatul pictogramei ceasului de timp. Ora locală apare ca data hardware a unui anumit MOE și crește discret cu incremente specificate constructiv.

Zminna Anul de bază(sys.peer) este un selector care identifică motorul de sincronizare care este selectat. Sună această structură pentru a te răzbuna pe partenerul tău. O valoare de zero indică faptul că sincronizarea este necesară zilnic.

Parteneri serioși

Toți partenerii relevanți care sunt implicați în gestionarea și implementarea procedurilor vigilente sunt enumerați mai jos.

Bit de configurare(peer.config) - aceasta indică faptul că asocierea a fost formată pe baza informațiilor de configurare și nu trebuie să fie reformată dacă partenerul devine indisponibil.

Actualizați marca temporală(peer.update) - ora locală în formatul de marcaj de timp, care indică momentul în care notificarea NTP a fost întreruptă. Variabila este utilizată pentru a calcula variația taxei timp-oră.

Registrul de accesibilitate(peer.reach) - registru sovny biți ntp .window, care sunt victorioși în funcție de statutul de atingere a partenerului. Introducerea acestor date are loc de partea tinerilor lilieci (dreptaci). Partenerul este respectat ca rudă, deoarece cel puțin un bit din registrul său este egal cu 1.

Cronometru partener(peer.timer) - un întreg vindecator care este învingător pentru intervalul dintre cererile succesive pentru conexiuni NTP. Odată ce valoarea vindecătorului este setată, aceasta se va modifica cu 1 (1 sec) până când ajunge la zero. Pe cine trebuie să știți despre procedura de transfer. Vă rugăm să rețineți că robotul cronometrului dvs. nu se găsește în cronometrul local.

Modificări ale loturilor

Versiunea numarul(pkt.version) - un număr întreg care indică numărul versiunii directorului. Conexiunile NTP vor fi întotdeauna supuse valorilor exacte ale versiunii ntp .version și vor fi luate ca un ghid pentru codurile de versiune ( ntp.versiune). Vina sunt permise doar pentru schimbarea numărului de versiune.

Schimbați filtrele aniversare

Când se folosesc filtre și algoritmi de selecție, în plus tabere schimbătoare.

Registrul de filtrare(peer.filter) - registru sovny cascade ntp. shift , unde cascada reține valorile întârzierii simulate, deplasarea și varianța calculată, care indică o atenție. Acești trei parametri sunt introduși din partea rangurilor mai vechi și sunt introduși din partea rangurilor mai tinere (în dreapta). Când rezultatele unei noi măsuri de precauție sunt eliminate, rezultatele vechi se pierd.

Doctor în date corecte(peer.valid) - Un filtru întreg care indică expresiile corecte care lipsesc din registrul de filtru. Vіkoristovaya pentru a determina disponibilitatea și pentru keruvannya să crească și să modifice perioada de livrare pentru a fi informat.

Substituţie(peer.offset) - număr de s comă fixă Acest semn indică valoarea deplasării datei partenerului de relație la data locală în secunde.

Zatrimka(peer.delay) - numărul z comă fixă Acesta este un semn care indică sincronizarea ciclică (RTT) a anului partenerului de relație până la data locală, cu ora specificată de extindere și de ieșire în câteva secunde. Este important de menționat că modificările pot fi luate atât pozitiv, cât și negativ în raport cu acuratețea datei și iertarea datoriei acumulate.

Dispersia(Peer. dispersie) - numărul z comă fixă, care indică reducerea maximă a anilor partenerului de relație la anul local cu ajustarea marjei în secunde. Este permisă orice valoare mai mare decât zero.

Parametrii

Mai jos sunt parametrii pentru toate implementările care funcționează pe Internet. Este necesar să înțelegeți cu atenție valorile acestor parametri pentru a preveni aroganța inutilă și pentru a stabiliza asociațiile de parteneri. Setările pot fi setate pentru toate asociațiile.

Versiunea numarul ( ntp.versiune) – numărul exact al versiunii NTP (3).

Port NTP ( ntp.port) - numărul portului standard (123), atribuit protocolului NTP.

Numărul maxim de minge ( ntp.maxstratum) – numărul maxim de minge care poate fi schimbat la codificarea unei schimbări de lot. Acest parametru este interpretat ca indicând o inconsecvență (inaccesibilitate la protocolul de rutare prin scufundare).

Vârsta maximă a aniversării ( ntp.maxage) - intervalul maxim în secunde în care anul standard va fi considerat corect după verificarea rămasă.

Crash maxim ( ntp.maxskew) - limita maximă de viteză asociată cu eșecul logării locale pe oră ntp .maxage, în secunde. Setarea lui ntp .maxskew la ntp .maxage este interpretată ca rentabilitatea maximă a totalității factorilor.

Creștere maximă ( ntp.maxdistance) - relația maximă admisă între parteneri pe oră de sincronizare cu algoritmul de selecție corespunzător.

Perioada minimă de retragere ( ntp.minpoll) - Perioada minimă de retragere acceptabilă pentru orice partener de pe Internet. Această perioadă este exprimată în secunde și în pasul 2.

Perioada maximă de retragere ( ntp.maxpoll) – perioada maximă de retragere permisă oricărui partener de pe Internet. Această perioadă este exprimată în secunde și în pasul 2.

Minim o aniversare sărbătorită ( ntp.minclock) - Numărul minim de parteneri necesar pentru sincronizare (dacă este selectat algoritmul de selecție).

Anul maxim câștigat> ( ntp.maxclock) - numărul maxim de parteneri necesari pentru organizarea selecției (dacă este selectat algoritmul de selecție).

Dispersie minimă ( ntp.mindisperse) - valoarea minimă a dispersiei crescute pentru bile de piele în secunde (cu algoritmul de filtrare selectat).

Dispersie maximă ( ntp.maxdisperse) – dispersie maximă în secunde bazată pe pierderea datelor (folosind algoritmul de filtrare).

Dimensiunea registrului de disponibilitate ( ntp.window) - dimensiunea registrului de atingere (peer.reach) în biți.

Dimensiunea filtrului ( ntp.shift) - mărimea zsuvnogo registru filtru de an (peer.filter) în cascade.

filtru Vaga ( ntp.filtru) - і cu părul lat:

Activ simetric (1). EOM, care funcționează în acest mod, crește periodic gradul de conștientizare indiferent de acoperirea sau sfera partenerului său. În acest mod, EOM vă anunță despre intenția dvs. de a vă sincroniza și de a fi sincronizat cu partenerul dvs.

pasiv simetric (2). Acest tip de asociere este creat inițial după ce se conștientizează partenerul, care operează într-un mod activ simetric. Câștigul este salvat atâta timp cât partenerul ajunge și funcționează la minge, mai mic sau egal cu EOM. În caz contrar, asociația se destramă. Cu toate acestea, asociația nu va fi trimisă ca avertisment. În acest mod, EOM vă anunță despre intenția dvs. de a vă sincroniza și de a fi sincronizat cu partenerul dvs.

Serverul, care operează într-un mediu extins, informează despre intenția de a sincroniza toți partenerii.

EOM, care operează în modul client, trimite, de asemenea, notificări NTP către EOM, care operează în modul server, de exemplu, imediat după resemnare și periodic ulterior. Serverul răspunde schimbând adresele și numerele de port, introducând informațiile necesare și trimițându-le înapoi clientului. Serverele nu sunt obligate să salveze informații de stare între solicitările clientului, dar clienții pot varia intervalele dintre comunicațiile NTP pentru a se potrivi nevoilor locale. În aceste moduri, mașina de protocol descrisă în acest articol poate fi simplificată fără nicio pierdere de precizie sau fiabilitate, mai ales atunci când se lucrează într-un mediu local de mare viteză.

În modurile simetrice, dinamismul clientului și al serverului este practic necunoscut. Mod simetric pasiv de atribuire pentru utilizarea serverelor bazate pe ceas care funcționează în apropierea nodurilor de bază (mingea inferioară), sincronizarea și egalizarea submersurilor număr mai mare parteneri În acest mod, identificarea partenerului nu este necesară în prealabil, deoarece asocierea cu țările lor alternative este creată numai dacă conexiunea NTP este eliminată. Mai mult, memoria poate dispărea mai târziu dacă partenerul devine de neatins sau de neatins, iar din acest motiv va fi de neatins ca urmare a sincronizării.

Mod activ de atribuire simetric pentru serverele vikoristannya la o oră care funcționează lângă nodurile terminale (cel mai mare Mingea de asociere, așa cum a început, va fi eliminată din cauza inaccesibilității partenerului.

Gamă largă de aplicații pentru lucru în rețelele locale elvețiene cu un număr mare de stații de lucru, unde nu este necesară o precizie ridicată. Într-un scenariu tipic, unul sau mai multe servere LAN orare trimit periodic mesaje ample către stațiile de lucru, care apoi calculează ora pe baza unei întârzieri specificate anterior, de ordinul a câteva milisecunde.

Îmbrăcat

Având în vedere protocolul NTP, mesajele sunt generate atunci când timer-ul partenerului (peer. timer) a expirat, dintre care unul este vizat în mod specific partenerului din asociația activă, precum și atunci când conexiunea NTP este eliminată din rețea. parteneri. Acesta poate fi rezultatul unei comenzi de operator sau al unei erori detectate, cum ar fi standardul primar.

Bună ziua, invitați și cititori obișnuiți. Trec treptat de la elementele de bază la versiunea mai avansată de Linux. Astăzi vreau să arunc o privire protocolul robot ntp, precum și ajustări servere pe Linux(server ntp). Ei bine, să începem cu teoria.

Protocolul NTP

Network Time Protocol (NTP)- un protocol de rețea pentru sincronizarea jurnalului de date intern al computerului cu o rețea variabilă și latență variabilă (a se citi „lățimea”/capacitatea canalului).

NTP vikoryst pentru munca sa Protocolul UDP și portul 123.

Versiunea actuală a protocolului - NTP 4. NTP Sistemul ierarhic vikorist „Vartovykh Rivniv”(se mai numesc Strat). Riven 0 (sau Stratum 0)- acesta este un dispozitiv care reprezintă un înregistrator atomic (molecular, cuantic), un înregistrator GPS sau un înregistrator radio. Aceste dispozitive nu sunt publicate la nivel mondial, ci sunt conectate direct la serverele sunt egale cu 1 pentru protocolul suplimentar RS-232 (indicat prin săgeți întunecate în ilustrație). Riven 1 sincronizare cu un înregistrator de date de înaltă precizie nivelul 0, începeți să lucrați ca un dzherela pentru servere nivelul 2. Riven 2 sincronizat cu o singură mașină nivelul 1, și este, de asemenea, posibil să vă sincronizați cu serverele de la egalul dvs. Riven 3 procedează în mod similar cu celălalt. Asigurați-vă că serverele egale sunt publicate de la celălalt și de mai jos. Protocolul NTP suportă până la 256 de ruble. De asemenea, am dori să remarcăm că serverele de rangurile 1 și 2 și de rangurile 3 nu sunt întotdeauna deschise pentru acces ilegal. Pentru a vă sincroniza cu acestea, trebuie să trimiteți o solicitare prin e-mail administratorilor de domeniu.

Ar trebui să vă fie frică să limitați accesul la servere? Odată cu trecerea la rubarbă de piele, pierderea serverului primar crește, atunci Numărul de servere este în creștere Si bine, .

Atribuirea unui server NTP unei rețele locale

Avem nevoie de un server NTP? De exemplu, există servicii de sistem de operare care pot depinde de ceasul sincronizat. Cel mai bun exemplu de astfel de servicii este protocolul de autentificare Kerberos. Pentru această lucrare, este necesar ca pe computerele, la care accesul se bazează pe următorul protocol, ora sistemului să varieze cu cel mult 5 ore. În plus, ora exacta pe toate computerele, este mult mai ușor să analizați jurnalele de securitate în timp ce investigăm incidentele la nivel local.

Moduri de operare server/client NTP

Client server

Acest mod este în prezent cel mai frecvent abuzat de pe Internet. Schema robotului este clasică. Clientul trimite o cerere, care în timp serverul forțează răspunsul. Clientul este configurat folosind o directivă de server suplimentară în fișierul de configurare, care specifică numele serverului DNS.

Mod activ/pasiv simetric

Acest mod este selectat în cazul în care sincronizarea orei între cantitate mare mașini egale. Pe lângă faptul că mașina de piele este sincronizată cu peer-ul extern, se sincronizează și cu colegii săi (peers), acționând pentru ei ca client și server. Prin urmare, dacă mașina își „cheltuie” puterea externă, puteți determina în continuare ora exactă de la vecini. Sistemele pot funcționa în două moduri – activ și pasiv. Lucrând în modul activ, mașina în sine își transmite timpul către toate mașinile peer configurate în secțiunea peers a fișierului de configurare ntp.conf. Deoarece această secțiune nu are un vas specificat, este important ca mașina să funcționeze în modul pasiv. Pentru a preveni ca un atacator să compromită alte mașini prin prezentarea drept dispozitiv activ, este necesar să se folosească autentificarea.

Modul de difuzare

Acest mod este recomandat pentru a fi folosit în astfel de situații, când un număr mic de servere deservesc un număr mare de clienți. Funcționând în acest mod, serverul redirecționează periodic pachetele trimise la adresa de scufundare mai largă. Clientul, care configurează sincronizarea în acest fel, primește pachetul larg al serverului și apoi se sincronizează cu serverul. Un mod special le include pe cele care sunt livrate în cadrul aceleiași scufundări (interconectarea pachetelor de difuzare). În plus, pentru a vă proteja împotriva actorilor rău intenționați, este necesar să folosiți autentificarea.

Modul multicast

Acest mod este oarecum similar cu difuzarea. Responsabilitatea constă în faptul că adresele multicast și adresele IP din spațiul de adrese clasa D sunt folosite pentru livrarea pachetelor. Pentru clienți și servere, adresele de grup multicast sunt specificate pentru a fi utilizate pentru sincronizarea ceasului. Acest lucru face posibilă sincronizarea grupurilor de mașini situate în locații diferite, deoarece routerele care le conectează acceptă protocolul IGMP și sunt configurate pentru a transmite trafic de grup.

Modul Manycast

Acest mod se bazează pe inovațiile din a patra versiune a protocolului NTP. Este important să ascultați clientul în mijlocul granițelor sale de servere bogate, să eliminați timpul de la fiecare dintre ele (cu ajutorul criptografiei) și să selectați trei „kras” pe baza acestor date. Există o mulțime de cast-servere cu care clientul se va sincroniza. Ori de câte ori unul dintre servere se deconectează, clientul își actualizează automat lista.

Pentru a transmite semnale către clienți și servere care funcționează în moduri multicast, utilizați adrese de grup multicast (conexiuni clasa D). Clienții și serverele care vizitează aceeași adresă formează o singură asociație. Numărul de asocieri este determinat de numărul de adrese multicast selectate.

Ora Linux

Să explicăm pe scurt cât este ceasul în Linux și cum funcționează. Pentru Linux, ca orice alt sistem de operare, durează două ore. Pershi - hardware , nume diferite Ceas în timp real, scurtat ( RTC) (puterea este aniversarea BIOS-ului) Mirosul este asociat cu un cristal de cuarț care oscilează și își modifică precizia până la câteva secunde pe zi. Precizia depinde de diferite niveluri, de exemplu, la temperaturi excesive. O altă aniversare - internă aniversare software , care continuă fără întrerupere, există și o pauză de o oră în sistemul robotizat. Duhoarea este îngrozitor de puternică, asociată cu marile avantaje și întreruperi sistemice. Cu toate acestea, sistemul citește mai întâi afișajul datei hardware atunci când este selectat și apoi afișează data sistemului.

data si ora sistem de operare este instalat atunci când este selectat pe baza valorii aniversare hardware, precum și regla fusul orar. Ajustați fusul orar din fișier /etc/localtime. Acest fișier este o trimitere (sau mai des o copie) a unuia dintre fișierele din structura de directoare /usr/share/zoneinfo/.

Hardware-ul Linux vechi de un an poate economisi o oră pe format UTC(Asemănător cu GMT) sau ora teritorială exactă. Principala recomandare este la ce oră să instalați (?) este: dacă aveți mai multe sisteme de operare instalate pe computer și unul dintre ele este Windows, atunci trebuie să verificați ora exactă (deoarece Windows ia timpul din BIOS/CMOS și îl respectă ca local). Dacă sunt utilizate numai sisteme de operare ale familiei UNIX, ar trebui să economisiți timp în BIOS în format UTC.

După schimbarea sistemului de operare, data sistemului de operare și BIOS-ul sunt complet independente. Nucleul de sistem sincronizează înregistratorul de sistem cu înregistratorul hardware la fiecare 11 secunde.

După aproximativ o oră, poate exista o diferență de câteva secunde între datele hardware și software. Ce fel de an este să te răzbuni la ora potrivită? Nici unul, nici celălalt, nu îl putem remedia încă sincronizarea ceasului.

Notă:

Nucleul Linux salvează și calculează întotdeauna ora ca număr de secunde care au trecut de la zi 1 septembrie 1970 stâncă, indiferent dacă data dvs. este setată la o oră locală sau la nivel mondial. Modificarea orei locale are loc în timpul procesului de spălare.

Câteva secunde din 1970 până la sfârșitul lumii sunt salvate ca o valoare semnificativă de 32 de biți (acest lucru este valabil pentru sistemele Linux/Intel), aniversarea ta nu va mai fi valabilă aici în 2038. Linux nu are probleme cu 2000, dar are probleme cu 2038. Din fericire, la acel moment, toate Linux-urile vor rula pe sisteme pe 64 de biți, iar sistemele pe 64 de biți vor continua să reziste până la aproximativ 292.271 de milioane de ani.

Server NTP Linux

introduce

Aceasta este o implementare simplă pentru sincronizarea ceasului pentru sistemul de operare Linux. Cele mai populare sunt Xntpd (NTP versiunea 3), ntpd (NTP versiunea 4), Crony și ClockSpeed. În aplicație vom folosi serverul ntp ntpd.

Daemonul ntpd este atât un server, cât și un client, configurând cu atenție fișierul de configurare /etc/ntpd.conf (sau /etc/ntp.conf), demonul poate „primi” ora de la serverele afiliate și „distribui” ora către alte gazde.

Zagalna circuit de sincronizare a ceasului granița locală are acces la: Aveți nevoie de 1 sau 2 servere care oferă acces la rețeaua globală pentru a obține o oră de acces la internet. Toate computerele locale sunt sincronizate cu serverele specificate, ceea ce le permite să petreacă o oră pe Internet.

ntpd instalat

Vlasna, instalarea demonului pentru a instala următoarele pachete: ntp(pachetul care include demonul însuși), ntpdate(Utilitarul pentru sincronizarea manuală a ceasului este depășit), ntp-doc(documentația pachetului), unele distribuții vor trebui să se instaleze în acest fel ntp-utils(Utilități de diagnosticare) este adesea inclus în pachetul ntp. Cum se instalează software-ul pe Linux, l-am descris în . După instalarea pachetului, în majoritatea distribuțiilor, demonul va fi deja configurat ca client ntp (de exemplu, Debian avea asta). Aparent, principalele fișiere de configurare au fost create automat: /etc/ntp.conf și /var/lib/ntp/ntp.drift și demonul a fost lansat automat.

Înainte de a configura demonul să se sincronizeze cu lumea exterioară, aș dori să setez data exactă a sistemului la o valoare cât mai apropiată de timpul real. Setarea datei în Linux realizat de echipa: data MMDDhhmmCCYY.ss, de MM – luna, DD – ziua lunii, hh – aniversare, mm – hvilini, CCYY – 4 cifre ale sorții, ss – secunde. Când contează CCYY.ss exprimă-l într-un mod non-lingvistic.

După cum puteți vedea, a fost introdusă comanda pentru a seta data și ora exactă la 27 aprilie 2010, 20:06:30. comanda data fără parametri, afișați ora curentă a sistemului. Această comandă are o mulțime de parametri, care pot fi găsiți în data man.

De asemenea, este necesar să setați corect data hardware și fusul orar. După cum sa spus mai sus, fusul orar este ajustat la copii dosar necesar Catalog Zoni z /usr/share/zoneinfo/ y fișier /etc/localtime:

Ntp-server:~# cp /usr/share/zoneinfo/Europe/Moscow /etc/localtime

Echipamente Aniversare am reparat-o pe UTC:

# cat /etc/sysconfig/clock | grep UTC # UTC = true indică faptul că ceasul este setat la UTC; UTC=true ntp2-server:~# cat /etc/default/rcS | grep UTC UTC=da

Prima aplicație are un fișier de configurare, ceea ce înseamnă UTC pentru RH, cealaltă pentru distribuțiile Deb.

Dacă setarea este setată la ora curentă în formatul UTC, trebuie să setați ora hardware . (În majoritatea cazurilor, nu este nevoie de acest lucru, deoarece ceasul sistemului de sarcini este inevitabil sincronizat cu ceasul hardware de către kernel). Ale, la urma urmei, din moment ce ai bani de câștigat... comanda hwclock citește și instalează data hardware pe platforma parametrilor transferați către aceasta. Parametrii disponibili sunt listați pe pagina de comandă. Vikoristan hwclock cap axa:

Ntp-server# hwclock # citește ora de la data hardware ntp-server# hwclock --systohc --utc # setează ora datei hardware egală cu # UTC în ora sistemului ntp-server# hwclock --systohc # setează hardware-ul data ora # egală cu ora locală bazată pe ceasul de sistem ntp-server# hwclock --set --date "22 Mar 2002 13:17" # setează ora hardware # egală cu rândul desemnat

O altă opțiune este schimbarea orei în recorderul hardware - pentru a accesa BIOS-ul când sistemul este instalat. De ceva timp sistemul de operare nu este același cu data hardware, orice modificări aduse BIOS-ului vor fi valabile atunci când sunt actualizate.

Acum, dacă avem totul pregătit și instalat, să începem asupra vietii de zi cu zi.

Gestionarea demonului ntpd

management demonul ntpd Nu este nimic de care să vă faceți griji când controlați alți demoni. Porniți sau reporniți serviciul ntpd:

#/etc/init.d/ntp start #/etc/init.d/ntp restart

Zupinka:

#/etc/init.d/ntp stop

#/bin/kill `cat /var/run/ntpd.pid`

Daemonul are următorii parametri de pornire:

P - fișier PID,
-g - permite trecerea la ora mare
-c - fișier de configurare
-q – Sincronizare manuală Primus

Configurarea serverului ntpd

În primul rând, vom modifica parametrii pentru pornirea demonului în fișierul de configurare curent:

Ntp-server:~# cat /etc/default/ntp NTPD_OPTS="-g"

# cat /etc/sysconfig/ntpd # Parametrii pentru demonul NTP. # Vezi ntpd(8) pentru mai multe detalii. .... # Specifică parametri suplimentari pentru ntpd. NTPD_ARGS="-g"

Acest parametru vă permite să sincronizați data, ca urmare, există o diferență foarte mare de ore.

Ei bine, după cum am spus deja, informații despre configurație demonul ntpd mint lângă dosar /etc/ntp.conf. Sintaxa fișierului este standard, ca în multe alte configurații: rândurile goale și rândurile care încep cu simbolul „#” sunt ignorate. Cap simplu ax:

Ntp-server:~# cat /etc/ntp.conf server ntplocal.example.com prefer server timeserver.example.org server ntp2a.example.net driftfile /var/db/ntp.drift

Parametru Server specifică ce servere vor fi selectate pentru sincronizare, câte unul pe rând. Este serverul de joburi cu un argument prefera, iac ntplocal.example.com, atunci acest server trebuie să prevaleze în fața judecătorului. Mesajul de pe celălalt server va fi aruncat dacă este semnificativ diferit de mesajele de pe alte servere, altfel rezultatele de pe serverul vikory sunt complet diferite de alte tipuri de mesaje. Argument prefera Apel pentru vikorystvuyatsya pentru servere NTP, deoarece se știe că acestea sunt chiar precise, cum ar fi vikoristvayutsya posesia specială a orei exacte.

Parametru driftfile specifică fișierul care este utilizat pentru a salva offset-ul frecvenței ceasului sistemului. Din câte am înțeles, acest fișier salvează permanent valorile care se formează pe baza analizei ajustărilor anterioare și dacă setările curente devin indisponibile, atunci sunt necesare ajustări pentru valorile fișierului derivă. Sunteți responsabil pentru modificarea oricăror alte procese. І înainte de inserare acest fișier la configurare - fișierul poate fi creat.

Pentru restul server NTP va fi disponibil pentru toate gazdele pe Internet. Parametru restrânge la dosar /etc/ntp.conf Vă permite să controlați ce mașini pot contacta serverul dvs. Ce vrei blocați toate mașinile să vă acceseze serverul NTP, adăugați următorul rând la fișier /etc/ntp.conf:

restrictioneaza implicit ignora

Ce vrei permite sincronizați data aniversară numai cu serverul dvs mașini la granița dvs, ale proteja Sunt configura serverul Dacă sunteți participanți egali la sincronizarea orei, atunci în locul celui desemnat, adăugați următorul rând:

restrictioneaza 192.168.1.0 masca 255.255.255.0 nomodify notrap

Unde 192.168.1.0 este adresa IP a rețelei dvs. și 255.255.255.0 este masca de rețea. /etc/ntp.conf Puteți plasa o serie de directive restrictive.

Pentru o funcționare corectă și mai precisă a demonului, este necesar să selectați servere de același nivel - stratul 2 (puteți alege cu siguranță stratul1, altfel veți ajunge să pierdeți timpul căutând un astfel de server) și din stratul 2 selectat și la un minim „escape”. Vă rugăm să rețineți că astfel de servere pot fi furnizate de ISP-ul dumneavoastră. Numărul de servere care sunt selectate este probabil mai mare de 2-3, cu atât mai multe, cu atât mai bine, dar în limite rezonabile. Cum ar trebui să alegi? cele mai bune servere, atunci poți lua lista de pe servere protejate un alt nivel de informații: http://support.ntp.org/bin/view/Servers/StratumTwoTimeServers.

Lista selectabilă NTP standard servere

Accesați adresa specificată (http://support.ntp.org/bin/view/Servers/StratumTwoTimeServers) și selectați o listă de servere ear. Z această listă Selectăm servere care să satisfacă clienții noștri, pentru o analiză suplimentară a ieșirii comenzilor ntpdate. Când comanda este adăugată, sintaxa ofensivă este înghețată:

parametrii ntpdate și server_through_break

Pentru ca interogarea noastră să fie introdusă fără a face modificări în sistem, este necesar să folosim parametrul -q, care specifică interogarea corectă fără a face modificări. Deci, puteți folosi tasta -d, care indică faptul că comanda va fi afișată în modul normal, cu informații suplimentare afișate, fără a face modificări reale (cu care tastă sunt afișate multe alte informații:), pe care le avem Narazi nu este necesar). Alți parametri pot fi găsiți în man 8 ntpdate. Din mesajul de mai sus, am selectat toate serverele Open Access, implementate în Rusia (RU) + cel pe care l-am selectat furnizorul și am rulat comanda, rezultatul a fost cam așa:

Ntp-server:~# ntpdate -q ntp2.ntp-servers.net ntp1.vniiftri.ru ntp2.vniiftri.ru ntp4.vniiftri.ru ntp0.ntp-servers.net ntp1.ntp-servers.net ntp.corbina.net server 88.147.255.85, stratul 1, offset 0.006494, întârziere 0.09918 server 62.117.76.142, stratul 1, offset 0.002552, dela1 1.6 offset 0.003147, întârziere 0.003147, strat 62.114180.06, strat 1. , offset 0,004823, întârziere 0,07350 server 88.147.254.228, strat 1, offset -0.002355, întârziere 0.12030 server 88.147.254.229, stratum2 1 2.117.76.138, stratul 1, offset 0.005331, întârziere 0.07401 server 195.14, delay, stratum 195.14, 0.07401, offset 0. 07188 13 ian 19:14:09 ntpdate : ajustați serverul de timp 62.117.76.141 offset 0.003147 sec

În aplicație, serverele noastre au văzut stratum1 rhubarb la distanță, care nu poate decât să fie liniștit (cu excepția serverului furnizorului), offset este diferența dintre oră și acest server în secunde, întârzierea este întârzierea sincronizării în secunde. Zazvichay, b Despre O precizie mai mare se obține atunci când serverele sunt actualizate, ceea ce înseamnă o întârziere redusă în transmiterea pachetelor prin barieră. Pentru a dezvălui acest lucru, puteți accelera. Evident, concentrându-ne pe cei cu cea mai mică oră de transmisie, iar de la ei, pe cei cu mai puține apeluri. Ei bine, fără a pierde timpul, voi verifica rapid toate serverele desemnate și le voi adăuga la fișierul de configurare. În același timp, știind că totul este enumerat mai sus, îmi voi descrie fișierul, care este cel mai important. /etc/ntp.conf:

Ntp-server:~# cat /etc/ntp.conf # Servere de rețea locală (comentat, nu vykoristovaya - există un server în rețea) #server 192.168.0.2 #server 192.168.0.5 # server de internet server ntp2.ntp- servers.net server ntp1.vniiftri.ru server ntp2.vniiftri.ru server ntp4.vniiftri.ru server ntp0.ntp-servers.net server ntp1.ntp-servers.net server ntp3.vniiftri.ru server ntp.corbina.net # Fișierele serverului driftfile /var/lib/ntp/ntp.drift fișier de jurnal /var/log/ntpstats # restricție de acces la server: # totul este ignorat restricționează implicit ignoră # localhost fără parametri - asta înseamnă că totul este permis. Nu mai există opțiuni pentru a merge pe gard. restricționează 127.0.0.1 # Următoarele descriu serverele cu care suntem sincronizați local. # Permis, cu excepția capcanelor și solicitărilor către noi restriction 192.168.0.2 noquery notrap restrict 192.168.0.5 noquery notrap # pentru zona locală totul este permis, cu excepția capcanelor și modificarea restriction 192.168.5.5.5.5 mask. Permite restricționarea accesului extern la: restricționează ntp2.ntp-servers.net restricționează ntp1.vniiftri.ru restricționează ntp2.vniiftri.ru restricționează ntp4.vniiftri.ru restricționează ntp0.ntp-servers.net ntp1.ntp-servers.net restricționează ntp3 . restrict ntp.corbina.net # iar acest hack, care stabilește nivelul de încredere în serverul (stratele) în sine, este egal cu 3 # două cuvinte au un număr mai mic. 0 - nu data atomică, # 1 - nu este sincronizată cu ele, 2 - cu prima și așa mai departe. server 127.127.1.1 fudge 127.127.1.1 stratul 3

Pentru o mai bună înțelegere și configurare a serverului, voi descrie câțiva dintre parametrii de configurare ntpd pe care nu mi-am amintit::

permite dezactivarea auth/monitor/pll/pps/stats - porniți modul robot:
- auth- este mai ușor să rezolvați probleme necunoscute în modul de autentificare;
- monitor- permit monitorizarea bauturilor;
- pll- vă permit să ajustați frecvența evenimentelor lunare pentru NTP;
- statistici- permite colectarea de statistici;
statisticiloopstats- în timpul modificării de piele a evidenței anului local, scrie un rând în fișier loopstats;
statisticipeerstats- aderențele pielii din soluție sunt înregistrate într-un jurnal, care este salvat în fișier peerstats;
statisticiceasuri- notificările skin de la driverul de jurnal local sunt înregistrate într-un jurnal care este salvat într-un fișier ceasuri;
statsdir(numele_catalogului_cu_statistici)- setează numele directorului în care vor fi amplasate fișierele de statistici ale serverului;
filegen - Aceasta înseamnă algoritmul pentru generarea numelor de fișiere care constau în:
- prefix- partea secvenţială a numelui fişierului este setată fie în timpul compilării, fie prin comenzi speciale de configurare;
- Nume de fișier- adăugat la prefixul fără delimitare oblică, două puncte de blocare, se pot modifica cu cheia fișierului;
- sufix- generat separat ca nume de tip;
restrângeadresa numerică- stabilește limitele de acces: pachetele sunt sortate folosind măști, adresele de ieșire sunt luate și ulterior aliniate, iar pentru alinierea la distanță rămasă se ia ensign acces:
- fara steaguri- acces la data;
- ignora- ignora toate pachetele;
- noquery- ignorați pachetele NTP 6 și 7 (se va solicita această modificare);
- nomodify- ignorați pachetele NTP 6 și 7 (modificarea va deveni disponibilă);
- limitat- deservirea unui număr limitat de clienți în acest cadru;
- nupa- deservirea gazdei și sincronizarea cu aceasta;
clientlimitlimită- pentru steagul limitatînseamnă numărul maxim de clienți care urmează să fie deserviți (în mod implicit 3);

Ei bine, am luat ntpd-server, care este sincronizat cu lumea externă, vă permite să setați ora pentru clienții din rețeaua locală 192.168.0.1 cu o mască de 255.255.255.0 și vă puteți sincroniza și cu serverul local (la cerere sunt câteva rânduri) . Nu mai suntem capabili să ne gestionăm clienții și să știm să stăm cu ochii pe serverul nostru.

Monitorizarea serverului ntpd și sincronizare

Dacă ai totul rezolvat. NTP se va potrivi cu ora stației sincronizate. Acest proces poate fi urmat folosind Interogare NTP (ntpq):

Ntp-server:~# ntpq -p remote refid st t când sondaj atinge întârziere offset jitter =============================== ==================================================== ============ -n3. timp1.d6.hsd.PPS. 1 u 34 64 177 70.162 2.375 8.618 +ntp1.vniiftri.r .PPS. 1 u 33 64177 43.479 -0.020 10.198 *ntp2.vniiftri.r .PPS. 1 u 6 64177 43.616 -0.192 0.688 +ntp4.vniiftri.r .PPS. 1 u 4 64 177 43.623 0.440 0.546 -n1.time1.d6.hsd .PPS. 1 u 53 64 77 92.865 -11.358 38.346 -ns1.hsdn.org .GPS. 1 u 40 64177 78.057 -3.292 35.083 -ntp3.vniiftri.r .PPS. 1 u 44 64 77 47.667 2.292 2.611 -scylla-l0.msk.c 192.43.244.18 2 u 62 64 77 41.565 -1.564 28.914

Această comandă cu comutatorul -p afișează o listă de dispozitive cu caracteristicile lor pe ieșirea standard (alți parametri ai comenzii man ntpq). Semnificația coloanei de piele este următoarea:

Numele serverului NTP la distanță. Dacă introduceți comutatorul -n, veți vedea adresele IP ale serverelor în loc de nume.

Vă rugăm să indicați că serverul durează o oră pentru moment. Acesta poate include un nume de gazdă sau ceva pe pictograma GPS, care indică dispozitivul Global Positioning System.

Strat (rubarbă) - acest număr variază de la 1 la 16, ceea ce indică acuratețea serverului. Unul înseamnă acuratețe maximă, 16 înseamnă că serverul este indisponibil. Evaluarea dvs. este aceeași evaluare ca și cel mai mic server la distanță exact plus 1.

Interval între teste (în secunde). Valorile variază între frecvența minimă și maximă de eșantionare. Inițial, intervalul va fi mic, astfel încât sincronizarea să fie lină. Odată ce data este sincronizată, intervalul începe să crească pentru a modifica traficul și cererea la servere populare ora.

O reprezentare octală a unei matrice de 8 biți care afișează rezultatele celor opt încercări rămase de conectare la server. Acest bit este setat deoarece serverul VPN a fost eliminat.

Câte ore (în secunde) sunt necesare pentru a primi răspunsul la „Cât este ceasul?”

Cel mai important domeniu. Diferența dintre orele serverelor locale și de la distanță. Pe măsură ce sincronizarea progresează, această valoare poate scădea (se apropie de zero), indicând faptul că data aparatului local devine din ce în ce mai precisă.

Dispersia (Jitter) este o lume de date statistice cu privire la valoarea offset (câmpul offset) bazată pe numărul de perechi reușite cerere-răspuns. Cea mai mică valoare de dispersie este mai scurtă, ceea ce vă permite să sincronizați cu mai multă precizie ora.

Semnificațiile caracterelor înaintea numelor de server

x - dzherelo fals în spatele algoritmului;
. - incluse în lista de candidați prin Marele Vydstan;
- lista candidaților a fost selectată prin algoritmul de clustering;
+ - introduceți lista finală de candidați;
# - selecții pentru sincronizare și există 6 candidați cei mai scurti;
* - selectii pentru sincronizare;
o - selectat pentru sincronizare, în caz contrar este selectat PPS;
probil - o rubarbă foarte mare, un ciclu în care mila este evidentă;

serviciu ntpd„rezonabil” și ea însăși așteaptă o oră care este prea mult dincolo de limitele rezonabilului. La aproximativ o oră după pornirea ntpd, selectați cel mai mult surse sigure date și sincronizați cu acestea. Lista noastră de servere NTP de referință este revizuită în mod regulat de către serviciu.

Puteți verifica posibilitatea de sincronizare local pe server cu comanda:

Ntp-server:~# ntpdate -q server localhost 127.0.0.1, stratul 2, offset -0.000053, întârziere 0.02573 server::1, stratul 2, offset -0.000048, întârziere 0.02574 14 :.00 offset -04 sec.

Din partea de sus a comenzii puteți vedea că serverul nostru a devenit deja egal cu stratul 2. Pentru a ajunge de acest nivel, va dura aproximativ o oră. Poate că în primele 10-15 săptămâni serverul va fi mai eficient.

Puteți aprecia funcționarea corectă a serverului ntp în acest fel din jurnalele demonului ntpd:

Ntp-server:~# cat /var/log/ntpstats/ntp 13 ianuarie 20:13:16 ntpd: Publicat pe interfața #5 eth0, fe80::a00:27ff:fec1:8059#123 Activat 13 ianuarie 20:13: 16 ntpd: Listare pe interfața #6 eth0, 192.168.0.8#123 Activat 14 ian 14:31:00 ntpd: sincronizat cu 62.117.76.142, stratul 1 14 ian 14:31:12 13 ntpd:13 ntpd time: ntpd schimbarea stării de sincronizare 0001 14 ian 14:34:31 ntpd: sincronizat cu 88.147.255.85, stratul 1 14 ian 14:36:04 ntpd: sincronizat cu 66.1 14:11 14:11 04:11 04:36:36:36:36:04 ntpd: sincronizat cu 14:36. stratul 1 14 ian 15:10:58 ntpd: sincronizat cu 62.117.76.140, stratul 1 14 ian 15:17:54 ntpd: no3 atingere : sincronizat cu 62.117.76.140, stratul 1 14 ian.:14:15:15:resetare ntpd: +13.139105 s

Configurarea netfilterului (iptables) pentru serverul NTP

După ce am ajustat robotul server, ar fi rău să-l furi. Știm că serverul rulează pe portul 123/udp, așa că atunci când este întrebat, va fi trimis de la portul 123/udp. Familiarizându-vă cu articolul și familiarizandu-vă cu cele practice, puteți crea reguli pentru filtrarea traficului marginal:

Ntp ~ # iptables-save # reguli tipice iptables pentru DNS *filtru:INPUT DROP:FORWARD DROP:OUTPUT DROP -A -m conntrack --ctstate INVALID -j DROP # permite accesul la rețeaua locală la serverul NTP: -A INPUT -s 192.168 .1.1/24 -d 192.168.1.1/32 -p udp -m udp --dport 123 -m conntrack - -ctstate NEW -j ACCEPT -A IEȘIRE -o lo -j ACCEPT -A IEȘIRE -p icmp -j ACCEPT - A OUTPUT -p udp -m udp --sport 32768:61000 -j ACCEPT -A OUTPUT -p tcp -m tcp --sport 32768:61000 -j ACCEPT -A OUTPUT -m conntrack --ctstate RELATED,j ESTAB ACCEPT # permite accesul la serverul NTP creați cereri de ieșire -A OUTPUT -p udp -m udp --sport 123d -m conntrack --ctstate NEW -j ACCEPT COMMIT

Tse stoc tipic! Pentru a seta reguli iptables pentru setările și configurația rețelei, trebuie să înțelegeți principiul cum funcționează netfilter în Linux citind statisticile menționate mai sus.

Configurarea mașinilor client

Pentru a sincroniza ceasul pe mașinile UNIX Rețelele locale se bazează complet pe utilitarul ntpdate, rulându-l de mai multe ori în fiecare zi, de exemplu. Pentru care este necesar să adăugați un rând ofensiv:

0 * * * * /usr/sbin/ntpdate -s

Comutatorul -s execută direct comanda. Dacă mașinile client au câțiva megaocteți de RAM, puteți porni demonul ntpd, la fel ca pe serverul cu aceeași configurație:

Server restricționează implicit ignoră restricționează noquery notrap restrict 127.0.0.1 nomodify notrap

Cred că în acest conflict totul a devenit clar: deocamdată (server) este un server ntpd local, restricționați accesul tuturor, permiteți doar serverul ntpd local.

De asemenea, pe clienți este necesar să introduceți corect în ce format să salvați ora și să selectați fusul orar corect.

Pentru configurarea NTP Client Windows , trebuie să introduceți următoarele comenzi în consolă:

C:\>net time /setsntp: Echipa a avut succes. C:\>net stop w32time Serviciul Windows Time se oprește. Serviciul Windows Time a primit multe laude. C:\>net start w32time Serviciul Windows Time pornește. Serviciul Windows Time a avut succes. C:\>net time /querysntp valoarea SNTP curentă este: Echipa a avut succes.

Visnovok

Ei bine, asta este! Obsedat de măreția lumii... eu însumi nu mi-am dat seama. Îți voi aduce o pungă mică din ceea ce am depus. Din acest articol, sper, a devenit clar pentru noi ce și cum funcționează un server NTP. Am început să instalăm servere și clienți pe UNIX și mașini Windows. În multe cuvinte, structura sincronizării orei în rețeaua locală este disponibilă: Є 1,2 sau mai multe servere cu ora exactă în rețeaua locală, își sincronizează ora cu ceasurile externe în măsură globală. Configurarea serverului și a clienților se bazează pe fișierele /etc/ntp.conf (fișierul principal de configurare al demonului ntpd), /etc/localtime (fișierul de fus orar curent), precum și /etc/sysconfig/ntp ( pentru RH) și /etc/default / ntp (pentru Deb) – fișiere de parametri pentru pornirea demonului. Pentru un server NTP local în fișierul de configurare, serverele externe sunt specificate pentru limita de timp și accesul este permis pentru aceste servere cu parametrul restrict, precum și pentru computerele locale, pentru clienți este specificată ora oră - servere locale la limita locală, iar accesul este, de asemenea, blocat pentru toată lumea, cu excepția deocamdată în limita locală. Asta este. Vă mulțumesc tuturor pentru respectul dumneavoastră! O sa comentez cu placere!

(arhive de statistici) descrie cum să conectați GPS-ul la server pentru a vă organiza serverul cu ora exactă a Stratum1.
descrie cum se configurează autorizarea pe un server NTP.

Alimentare electrică

26.09.2018

Este important să recunoaștem lumea actuală fără o oră exactă. În multe domenii ale vieții este necesar să existe o înregistrare a datei foarte precisă, în care acuratețea este adesea în detrimentul acurateței înregistrării datei, de care oamenii sunt îngrijorați în viața de zi cu zi. De exemplu, este posibil să se mențină acuratețea sistemelor originale de control al aviației care controlează navele spațiale, iar sistemele de aeronave sunt în prim-plan. De asemenea, un înregistrator cu precizie ridicată este necesar în sistemele cu funcții mai simple - în sistemele de facturare și tarife operatori Stilnikovși furnizori de internet, sisteme de tranzacții bancare, sisteme bursiere, complexe de producție și științifice. În rețelele locale, protocolul de autentificare a serverului Kerberos egalizează și ora controlerului de domeniu cu anul stațiilor de lucru. În rețelele de calculatoare, sincronizarea trebuie să fie coordonată cu serverele la ora exactă folosind un protocol suplimentar NTP pentru că yogo a „luminat” speciile – SNTP. În acest articol ne uităm la particularitățile, semnificația și aplicarea acestor protocoale.

NTP(Engleză) Reţea Timp Protocol– protocol de cronometrare) – un protocol de cronometrare pentru sincronizarea jurnalului de date intern al computerului cu datele de cronometrare. Precizia ridicată a sincronizării orei este asigurată de un algoritm special, care vă permite să selectați ceasurile cele mai precise pentru a estima ora exactă. Acest algoritm vă permite să reduceți afluxul de date la minimum datorită setărilor evident incorecte ale serverelor NTP de pe Voi ucide sistemul. Protocolul NTP oferă mecanisme de sincronizare cu precizie de până la nanosecunde și oferă caracteristici pentru determinarea caracteristicilor și evaluarea temporizării ceasului local și a serverului de timp care realizează sincronizarea. Protocolul NTP acceptă un sistem ierarhic de egali sau straturi. Serverul NTP este cel mai mare rubarbă înaltă(Stratul 1), deoarece preia date direct din ora exactă. Serverele care își sincronizează data cu serverul stratului 1, sunt situate la un nivel inferior (stratul 2), etc.

SNTP(Engleză) Simplu Reţea Timp Protocol– protocol simplu de cronometrare) – protocol de sincronizare orară rețea de calculatoare. Este o implementare simplificată a protocolului NTP, dar are o complexitate similară cu algoritmul NTP. SNTP este selectat pentru nodurile de rețea care nu necesită setul complet de funcții NTP. O practică comună este sincronizarea mai multor noduri ale rețelei locale cu alte noduri NTP prin Internet și un număr de noduri pentru sincronizarea în timp util a serviciilor care sunt furnizate altor clienți prin limitele locale. Această versiune a ceasului nu necesită o precizie ridicată a sincronizării orei. Protocolul SNTP oferă mecanisme de sincronizare cu o precizie de la 1 la 50 ms

O aplicație pentru protocolul NTP: Bank N oferă clienților săi un add-on client-server pentru tranzacționarea la bursă. Serverele care procesează informații despre cotațiile bursiere sunt responsabile pentru anul cu o mare acuratețe a sincronizării cu scara ceasului mondial. În acest caz, serverul de tranzacționare de schimb al băncii N este sincronizat cu serverul de timp exact („stratul 1”), care primește date direct de la ceasul orar exact. Cel mai precis server este selectat folosind un algoritm derivat din protocolul NTP. Arhitectura de orientare a unei astfel de soluții este prezentată în diagrama de mai jos:

Exemplul clasic al rețelei SNTP este sincronizarea orei în mijlocul domeniului. Controlerul de domeniu ia ora de la Internetul global de la serverele accesibile privat la stratul 1 sau stratul 2. Alți clienți din domeniu își sincronizează data cu ora de pe controlerul de domeniu. Arhitectura orientală este prezentată în diagramă.

Ai nevoie de o oră exactă?

Și cui îi pasă de ora exactă? Desigur, noi, koristuvachs, avem nevoie de asta pentru a întârzia mai puțin. Aparent un aeroport modern - pentru munca sa, sute de piloți și dispeceri sunt vinovați că au petrecut ore și ore fără milă. Sistemul de înregistrare a mărfurilor în depozite, instalații medicale, privind vânzarea bonurilor de vânzare și multe alte instalații este necesar pentru a se asigura că ora la toate obiectele sistemului din cutare sau cutare lume rămâne aceeași. Tim este mai bun decât computerul. Ei rulează o mulțime de servicii și programe, pentru funcționarea normală a cărora este nevoie de un timp exact și, de regulă, unul precis, care nu este necesar pentru noi, oameni. Serviciile de sistem, componentele sistemului de securitate și pur și simplu programele de aplicație pot fi chiar mai critice la un moment dat. Cel mai bun exemplu de astfel de servicii este protocolul de autentificare Kerberos. Deci, pentru această lucrare este necesar ca pe computerele, la care accesul se bazează pe următorul protocol, ora sistemului să varieze cu cel mult 5 ore. În plus, ora exactă de pe toate computerele facilitează semnificativ analiza jurnalelor de securitate în timp ce investighează incidentele la nivel local.

Protocolul NTP

NTP (Network Time Protocol) este un protocol folosit pentru sincronizarea ceasului. Este posibil să se configureze algoritmi de clic complecși care asigură o precizie ridicată (până la câteva microsecunde) și rezistență la sistemul de sincronizare a ceasului. Astfel, protocolul transmite sincronizare de o oră de pe mai multe servere.

Există o serie de versiuni ale acestui protocol care acoperă diverse responsabilități. A treia versiune a acestui protocol a fost standardizată în 1992 ca RFC 1305. A patra versiune (rămană în prezent) introduce unele îmbunătățiri (configurare și autentificare automată, algoritmi de sincronizare mai scurti) similare celei de-a treia, apărarea nu a fost încă standardizată în RFC.

În plus, pe lângă protocolul NTP, se bazează și protocolul SNTP (Simple Network Time Protocol). La egalitate cu pachetele, cele două protocoale sunt destul de confuze. Principalul avantaj dintre ele este că SNTP nu are sisteme complexe de filtrare și corecție de mare viteză a filtrelor găsite în NTP. Astfel, SNTP este o versiune simplificată și ușor de implementat a NTP. Este destinat utilizării în zonele în care nu este necesară o precizie ridicată și, așa cum este implementat de Microsoft, asigură acuratețea în 20 de secunde într-o afacere și nu mai mult de 2 secunde între site-uri. Protocolul SNTP este standardizat de RFC 1769 (versiunea 3) și RFC 2030 (versiunea 4).

Model Sincronizare NTP transmite o structură ierarhică. Pe primul nivel al ierarhiei se stabilește titlul de „primul strat”. Duhoarea se găsește în diferite locuri din lume și persistă chiar la această oră. Există, evident, foarte puține astfel de servere, motiv pentru care sunt susținute constant cu ajutorul unor echipamente specializate costisitoare (canal radio, canal prin satelit). Serverele unui alt nivel (al doilea strat) sunt sincronizate cu serverele primului nivel folosind protocolul NTP. Există deja semnificativ mai multe dintre ele, sunt deja strâns nesincronizate (de la 1 la 20 de milisecunde) similar cu serverele „primare”. Următoarele pot fi serverele de pe al treilea, al patrulea și următoarele:

Odată cu trecerea la skinul de trei, furtul aproape a serverului primar crește, apoi crește numărul de servere și, prin urmare, atracția acestora se schimbă. Prin urmare, în contextul actualului motor de sincronizare, în locul serverelor primare care păstrează cea mai precisă oră, se recomandă înlocuirea serverelor secundare ca mai puține interferențe.

Pentru a sincroniza ceasul în Windows 2000/XP/2003, se utilizează protocolul SNTP. Suportul pentru acest protocol este implementat într-o vizualizare de sistem Servicii Windows Time, care include sistemul de operare Windows 2000/XP/2003. O caracteristică importantă a acestei implementări este că Windows Time acceptă autentificarea domeniului la actualizarea la ora serverului de referință, ceea ce este important din punct de vedere al securității.

Există o serie de opțiuni pentru serviciul SNTP pe care le puteți introduce înainte de Windows:

IIarhic (NT5DS). Vikorist se ocupă de promoțiile pentru toate computerele conectate la domeniu. Sincronizarea ceasului pe stațiile de lucru și serverele din domeniu urmează o ierarhie. Astfel, stațiile de lucru și serverele membre sunt sincronizate cu controlerul de domeniu, care autentifică intrarea, controlerele de domeniu sunt cu operația principală „Emulator PDC”, care este sincronizată cu controlerul de domeniu, care se află la cel mai înalt nivel al ierarhiei ї. Vă rugăm să rețineți că această ordine de sincronizare a vikoryst este efectuată „de mână” și poate fi reatribuită manual sau cu ajutorul politicilor de grup. Cei care câștigă bani vor fi discutați mai jos.
Sincronizare Primus cu serverul NTP (NTP) selectat. U la acest tip Ora standard pentru Ora Windows este setată fie manual, fie cu ajutorul politicilor de grup.
Sincronizarea este dezactivată (NoSync). Acest mod este necesar pentru o schemă mixtă de monitorizare a timpului, care se sincronizează cu dispozitivul extern, se folosește un produs terță parte, iar Windows Time este folosit pentru a ține evidența timpului dintre domenii.

Astfel, fiecare grup de lucru va trebui să ajusteze manual sincronizarea ceasului. De exemplu, unul dintre computere poate fi configurat să se sincronizeze cu un server extern utilizând protocolul SNTP, iar celelalte computere pot fi configurate să se sincronizeze cu acesta. Necesare pentru această activitate vor fi descrise mai jos.

Se recomandă ca domeniul să utilizeze sincronizarea ierarhică folosind protocolul SNTP. Cel mai adesea, acest lucru va asigura o acuratețe plăcută a timpului de sistem între domeniul forestier. În plus, va asigura automat securitatea actualizărilor de timp, menținând întotdeauna autentificarea cu Director activ. Pentru a menține ora „corectă” în domeniu, este necesar să sincronizați controlerul de domeniu de nivel superior, care joacă rolul unui „emulator PDC”, cu un server NTP extern. În cazul nostru, în rolul unui astfel de server, avem o mașină Linux care rulează demonul ntpd.

Configurarea SNTP pe Windows

Pentru a configura serviciul Windows Time, sunt utilizate două utilitare:

Timp net
W32tm

Timpul net este folosit ca instrument principal pentru configurarea serviciului orar, iar w32tm este folosit pentru monitorizarea și diagnosticarea robotului. Cu toate acestea, în Windows XP/2003, utilitarul w32tm a recunoscut costul modificărilor și poate fi folosit pentru a configura serviciul orar. Configurarea NTP este acum efectuată pe Windows XP/2003.

De asemenea, pentru a intra „manual” în dispozitivul de sincronizare pentru ajutorul de timp net, este suficient să scrieți în linia de comandă:

et time /setsntp:list_of_servers_at_hour_after_break

Pentru a obține informații despre serverul de streaming:

timp net /querysntp

Puteți afla ora pe controlerul de domeniu astfel:

timp net /domeniu:nume_domeniu

Și sincronizați ora cu axa controlerului de domeniu astfel:

Ora net /domeniu:nume_domeniu /set

Folosind utilitarul de sistem w32tm, puteți face la fel și mai mult:

w32tm /resync – pentru această comandă suplimentară puteți folosi local sau local computer la distanță Sincronizați afișarea datei sistemului dvs. cu serverul ales de dvs.
w32tm /config – Această comandă este folosită pentru a configura serviciul Windows Time. Aici puteți specifica și lista de servere care trebuie monitorizate și tipul de sincronizare (ierarhică sau bazată pe server).

De exemplu, pentru a reevalua valorile setărilor și pentru a ajusta sincronizarea orei cu ceasul extern, puteți utiliza rapid comanda:

w32tm /config /syncfromflags:manual /manualpeerlist:PeerList

Și pentru ca Windows Time să înghețe noile setări, în loc să reporniți serviciul, puteți utiliza comanda:

w32tm /config /update

În plus, w32tm are la dispoziție următorii parametri legați de monitorizarea timpului pe computere:

w32tm /monitor – cu această opțiune suplimentară puteți determina cât de mult diferă ceasul de sistem al computerului de ceasul controlerului de domeniu sau al altor computere.
w32tm /stripchart – arată grafic diferența în ore dintre computerul actual și cel de la distanță.
w32tm /register – înregistrează serviciul Windows Time ca serviciu activat acest calculator. Această opțiune poate fi dezactivată pe computerele care nu se autentifică în domeniu, deoarece serviciul de pe acestea a fost întrerupt pentru o perioadă.

Rapoartele despre parametrii timpului net și utilitățile w32tm pot fi eliminate folosind /? sau prin deschiderea acestei secțiuni a subsistemului Centrul de asistență și asistență MS Windows XP/2003.

Nu este important să ghicim că configurația serviciului Windows Time este salvată în Registrul Windowsîn secțiunea HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W32Time\.

La rădăcina secțiunii sunt specificați parametrii serviciului în sine, la Config conectat - setări legate de funcționarea protocolului SNTP în sine, modul de sincronizare este specificat la Parametrii conectați. Configurația clientului și serverului SNTP poate fi găsită în conexiunile TimeProviders\NtpClient și TimeProviders\NtpServer. Să aruncăm o privire la semnificațiile principale ale configurării unui client și server NTP:

Tip – indică modul de operare al clientului NTP (NTDS5 – ierarhic, NTP – „manual”, NoSync – nu se sincronizează, AllSync – toate tipurile de sincronizare sunt disponibile);
Activat – înseamnă dacă această componentă (client sau server) este activată;
CrossSiteSyncFlags – înseamnă că este posibilă sincronizarea ceasului cu un dispozitiv aflat în afara domeniului, deoarece se utilizează sincronizarea ierarhică (0 – nu este posibil, 1 – doar cu un emulator PDC, 2 – fără acesta);
EventLogFlags – indică faptul că notificările Windows Time vor fi înregistrate înainte functia corisna cu roboţi bine stabiliţi).

O altă opțiune pentru personalizarea serviciului Windows Time este schimbarea politicilor de grup. Ajustările sunt indicate în obiect Politica de grup pentru următoarea adresă: „Configurație computer -> Șabloane administrative -> Sistem -> Serviciu de timp Windows”.

Dacă ați instalat Windows 2000 Server și nu cunoașteți aceste setări, nu vă faceți griji, trebuie doar să actualizați „Șabloane administrative”. În acest scop, copiați din folderul de sistem system32\GroupPolicy\Adm de pe orice mașină Windows instalat XP toate fișierele .adm de pe server, care este controlerul de domeniu. În plus, indicând obiectul politicii de grup, faceți clic butonul corect pe „Șabloane administrative” și selectați „Adăugați/Eliminați șabloane...” Vizualizați acolo lista de șabloane și adăugați-le pe cele copiate. După apăsarea butonului „OK”, șabloanele vor fi actualizate și puteți configura serviciul folosind politicile de grup:

Este important de reținut că conducerea de top aici a revizuit toate ajustările care pot fi modificate în registru. Nu este nimic surprinzător în asta și așa funcționează majoritatea politicilor de grup.

În Windows XP, a apărut o altă modalitate de a configura un server, care poate fi și mai ușor pentru configurarea sincronizării computer de acasă Sau computere, ce să introduceți înaintea grupului de lucru:

Server NTP pentru Linux - sincronizare externă pentru domeniul Windows

După cum sa menționat mai sus, protocolul NTP este mai rezistent la erori, motiv pentru care este mai bine să utilizați serverul NTP la ora standard pentru sincronizarea externă. Până atunci, controlerul de domeniu de nivel superior a putut accesa Internetul prin portul UDP 123, care este folosit pentru lucrul NTP. Accesul poate fi refuzat din cauza standardelor de securitate, care este practica standard a organizațiilor mari. În astfel de cazuri, pentru a rezolva problema, puteți instala propriul dvs. server de timp în zona demilitarizată - DMZ, puteți configura pentru sincronizare cu un dispozitiv extern și puteți selecta aceeași oră ca și dispozitivul standard pentru sincronizare. domeniu de nivel. Ca atare, un astfel de computer ar fi în general potrivit, nu neapărat o mașină cu un sistem de operare nix-like, de exemplu, Linux, instalat într-o configurație minimă, fără un server X și alte discursuri potențial controversate.

Există o mulțime de programe pentru sincronizarea ceasului pentru sistemul de operare Linux. Cele mai populare sunt Xntpd (NTP versiunea 3), ntpd (NTP versiunea 4), Crony și ClockSpeed. În aplicația noastră, vom folosi serverul ntp ntpd, care este inclus în depozitul Redhat 9, care este inclus în pachetul ntp-4.1.2-0.rc1.2.i386.rpm.

Pachetul include o serie de programe concepute pentru roboți care folosesc NTP.

Axa principală este:

Ntpd – demon ntp, care menține ora exactă în fundal;
Ntpq este un utilitar conceput pentru testarea serverelor NTP care acceptă protocolul de testare standard NTP mode 6. Poate fi folosit și pentru a identifica și modifica starea curentă a serverului, ce setări o permit;
Ntptdc este un utilitar care poate fi folosit pentru a controla demonul ntpd și a prelua statisticile robotului său;
Ntpdate este un program pentru setarea ceasului curent al sistemului folosind protocolul NTP.

Capacitatea standard a protocolului NTP este abilitatea de a se autentifica. În acest caz, pot fi utilizați atât algoritmi simetrici (DES), care au apărut într-o altă versiune a protocolului, cât și algoritmi asimetrici cu cheie privată, care sunt noi în versiunea a patra.

În cazul unor scheme de autentificare simetrice diferite, clientul și serverul selectează un alt identificator și una dintre cele 65534 chei definite de standard. Cu ajutorul algoritmilor asimetrici, se utilizează așa-numita schemă Autokey, a cărei caracteristică principală este necesitatea de a distribui în avans cheile secrete ale serverelor.

Pentru a configura autentificarea ntpd, utilizați utilitarele ntp-genkeys, ntpq și ntpdc.

Toate funcționalitățile NTP legate de cronometrarea exactă sunt implementate în demonul ntpd. Această configurație este configurată în cel mai obișnuit mod pentru UNIX - prin editarea fișierului de configurare ntp.conf, care se află în folderul /etc.

Setați opțiunile disponibile pentru serverul NTP.

Deocamdată, iată serverele cu care va avea loc sincronizarea orei:

server ntp.nasa.gov # Un server din stratul 1 la nasa.org
server ntp1.demos.net # Un server stratul 2 la demos.net

restrict ntp.research.gov mask 255.255.255.255 nomodify notrap noquery

Aici masca 255.255.255.255 este folosită pentru a limita accesul la serverul de pe partea serverului ntp.nasa.gov. Acum avem o listă de noduri din rețeaua noastră locală pe care dorim să le permitem accesul la serverul nostru NTP pentru sincronizare:

restrictioneaza 192.168.1.0 masca 255.255.255.0 notrust nomodify notrap

De asemenea, avem nevoie de mașina Linux pentru a avea acces ușor la resursele serverului său:

restricționează 127.0.0.1

Și acum cel mai important lucru: putem trece la faptul că apărarea spălării, care are o prioritate mai mare, se comentează:

#restrict implicit ignora

După salvarea fișierului ntp.conf, configurația poate fi finalizată, dar este posibil ca ceasul să nu fie încă sincronizat după pornirea demonului. În dreapta, protocolul NTP a fost dezvoltat inițial ca protocol pentru a ține pasul cu vremurile, și nu pentru stabilirea lui. Prin urmare, dacă diferența dintre perioadele de timp afișate este mare (peste o mie de unități), atunci sincronizarea nu va fi efectuată. În acest caz, puteți seta imediat ora manual folosind comanda suplimentară ntpdate (puteți adăuga și comanda ntpdate la pornirea mașinii de script):

# ntpdate clock.vsu.ru
17 februarie 23:44:54 ntpdate: server de timp pas 198.123.30.132 offset 25.307598 sec

17 februarie 23:45:05 ntpdate: ajustați serverul de timp 198.123.30.132 offset 0,002181 sec
# ntpdate clock.vsu.ru

Daemonul NTP este lansat prin scripturi de inițializare. Dacă programul a fost instalat dintr-un pachet RPM, atunci toate costurile asociate cu pornirea lui automată sunt de asemenea valabile. Pentru a obține saltul, puteți folosi rapid comanda:

# chkconfig -list ntpd
ntpd 0:pornit 1: oprit 2: oprit 3: activat 4: oprit 5: activat 6: oprit

Dacă nu vedeți acest rând, înseamnă pornire automată ntpd nu este configurat. Pentru a corecta acest lucru, tastați:

# chkconfig -level 035 ntpd activat

Pentru procesarea NTP (pornire, pornire, repornire, stare), este utilizat scriptul de inițializare standard:

# /etc/init.d/ntpd start

Pentru a vizualiza statisticile de sincronizare a serverului, puteți utiliza rapid următoarea comandă:

# ntpq -p
telecomandă refid st t când sondaj atinge întârziere offset jitter
==============================================================================
*tick.usnogps.na .USNO. 1 u 38 64 377 220,00 0,149 7,08
-navobs1.wustl.e.PSC. 1 u 55 64 377 193,47 6,857 4,81
-ntp-nasa.arc.na .GPS. 1 u 43 64 377 254,88 7,471 9,58
-ntp0.NL.net.GPS. 1 u 144 512 377 122,54 12,515 13,75
-ntp2.ien.it .IEN. 1 u 558 1024 377 133,94 14,594 41,99
+cronometraj.isi. .GPS. 1 u 13 64 377 245,30 3,454 15,08
+news-zero.demos ntp0.usno.navy. 2 u 16 64 377 37,51 -3,239 11,14
LOCAL(0) LOCAL(0) 10 l - 64 377 0,00 0,000 10,01

Moduri de operare server/client NTP

Client server

Mod activ/pasiv simetric

Acest mod este utilizat deoarece ceasul este sincronizat între un număr mare de mașini egale. Pe lângă faptul că mașina de piele este sincronizată cu peer-ul extern, se sincronizează și cu colegii săi (peers), acționând pentru ei ca client și server. Prin urmare, dacă mașina își „cheltuie” puterea externă, puteți determina în continuare ora exactă de la vecini. Sistemele pot funcționa în două moduri – activ și pasiv. Lucrând în modul activ, mașina în sine își transmite timpul către toate mașinile peer configurate în secțiunea peers a fișierului de configurare ntp.conf. Deoarece această secțiune nu are un vas specificat, este important ca mașina să funcționeze în modul pasiv. Pentru a preveni ca un atacator să compromită alte mașini prin prezentarea drept dispozitiv activ, este necesar să se folosească autentificarea.

Modul de difuzare

Modul Manycast

Părți de masă

De ce ora nu este sincronizată după comanda net time /setsntp:server?

Asigurați-vă că serviciul w32time este setat la tipul de pornire „Automat”.
Verificați dacă portul UDP 123 al serverului NTP vicorizat este disponibil.
Asigurați-vă că nu există prea multă frecare între client și server.

Cum se poate sincroniza un client SNTP cu un server NTP?

Deci, probabil, protocolul SNTP este un subset al NTP și există ceva diferit în legătură cu acesta.

Cum puteți instala un server NTP în browsere terțe pe Windows 2000/XP/2003?

Deci, puteți începe rapid cu un server plătit sau gratuit. Mai întâi, porniți toate celelalte componente (client sau server) ale serviciului Windows Time.

De ce clientul NTP nu funcționează pe un computer cu MS instalat SQL Server?

În general, problema constă în faptul că SQL Server ocupă de fapt portul UDP 123. Ca soluție, puteți porni clientul NTP înainte de MS SQL Server.

Daemonul ntpd, după pornire, rulează 10-20 de minute, după care încetinește. Care ar putea fi problema?

Vă rugăm să vă reconectați, astfel încât clientul și serverul să nu fie întrerupte (nu mai mult de 5 minute). În caz contrar, conectați-vă la sincronizarea Primus folosind ntpdate.

Cum poți sincroniza ceasul pe sistemul de operare Windows NT4, 95, 98, Me?

Puteți utiliza programe suplimentare de la companii terțe, de exemplu, NetTime, Automacahron, World Time5, portul Windows NT.

Când încercați să vă conectați la un domeniu Windows, veți fi notificat ce oră este între controlerul de domeniu și post de lucru Variază prea mult, în ciuda faptului că sincronizarea este precis reglată.

Oricare ar fi cazul, problema este că problema este foarte gravă (scurgere CMOS, sabotaj hacker) și serviciul nu poate trece autentificarea folosind protocolul Kerberos. Pentru a rezolva această problemă, va trebui fie să setați manual ora, fie să nu selectați acest tip de autentificare până când ora este actualizată.

Este important să știi exact ora de la care este important să stai în fața oamenilor. Fără sistemele create de el, pentru buna funcționare este necesar să existe în mod constant o dată exactă în ordinea acesteia, iar acuratețea lor este un cost semnificativ pentru anii pe care oamenii îi folosesc în viața de zi cu zi. Pe lângă acuratețea datei, nu mai puțin importantă este sincronizarea lor cu scala orară universală. Vă rugăm să întoarceți cântarul UTC(Ora de coordonare universală stă la baza orei mari) se fac periodic modificări la apariția secundei suplimentare prin diferențe cu ora atomică (de exemplu, ceasul, când planeta noastră era locuită de primii dinozauri, a durat aproximativ 22 de ore). ani).

Ca urmare a aplicării unor sisteme care utilizează metode și mai precise și mai fiabile de calcul al timpului de curgere, este absolut necesar să se identifice complexele care sunt prezente în fluxul navelor spațiale sau al serviciilor de expediere a aviației - deși, desigur, putem cu precizie Sute de ani de istorie a tuturor elementelor unor astfel de sisteme sunt la cel mai înalt nivel. Stabil și sincronizat cu ceasul mondial este necesar în sistemele care instalează sarcini simple. Înaintea acestora, de exemplu, putem adăuga complexe științifice și de prelucrare a datelor care permit prelucrarea datelor în timp real folosind diverse dispozitive. Adaugă tot ce ține de finanțe – tranzacții bancare, sisteme de facturare ale operatorului Stilnikovy bondși furnizorii de internet care impun tarife asupra traficului deservit de aceștia. Toate acestea sunt aplicarea unor sisteme, a căror implementare este imposibilă fără un calendar victorios, sincronizat și coordonat cu ceasul universal. În măsurile de calcul, protocolul de autentificare client potrivește, de asemenea, ora serverului cu anul clientului.

Dezvoltarea comunicării în timpul nostru a întârziat semnificativ determinarea orei exacte. În acest moment, „peste capetele noastre” (mai precis, pe orbite în jurul Pământului) există zeci de sateliți de sisteme de poziționare globală, a căror înregistrare la bord este practic standardul orei. Semnalele care sunt influențate de acestea pot fi modificate pentru o sincronizare foarte precisă a datei. În măsurile de calcul, sincronizarea este de obicei coordonată cu serverele la ora exactă folosind un protocol suplimentar NTP(Network Time Protocol) sau această specie „luminată” - SNTP(Simple Network Time Protocol) în aceste cazuri, cu excepția cazului în care funcționalitatea maximă a NTP permanent nu este necesară.

Protocolul NTP acceptă un sistem ierarhic de egali sau straturi. Serverul NTP este de cea mai mare importanță ( stratul 1), deoarece preia date direct de la ora exactă. Serverul care își sincronizează data cu serverul stratului 1, în care modelul se află la un nivel inferior (stratul 2), etc. Protocolul NTP, administrat ca SNTP, va asigura o precizie mai mare a sincronizării ї, vikoryst și algoritmilor de pliere pentru sincronizarea transmisiei pachetele sunt monitorizate și puteți controla pachetele și filtra pachetele UDP.

Protocolul SNTP este simplu de completat și implică trei etape:

Un client care trebuie să dureze o oră trimite un pachet UDP pentru a plasa o cerere SNTP pe portul de primire primar 123 al serverului NTP și trece la modul de achiziție de linie. Care băutură este marcată cu ora aniversării sale.
Când alimentarea este oprită, serverul răspunde cu un pachet UDP pentru a găzdui notificările SNTP trimise clientului pe portul 123. Pachetul este înregistrat pentru a avea atât marca temporală a clientului, cât și marca temporală a serverului.
Când conexiunea este deconectată, clientul poate verifica marca oră pe care el însuși și-a creat-o în ora solicitării pentru a confirma corectitudinea conexiunii, asigurându-se că re-contactează astfel încât să nu fie trimisă clientului solicitant. și ( dacă un pachet de mesaje este alimentat de la un alt dispozitiv, cert este că este imposibil să te răzbuni pe astfel de Ei bine, după semnul orei, ușa este joasă). Apoi selectați valorile indicatorului oră de transmisie, transformându-l în ora transmisă a întârzierii, făcând clic pe pasajele de pachete de-a lungul liniei și rezultatul vikoryst pentru a seta ora datei sistemului dumneavoastră.

Formatele de pachete pentru ambele protocoale sunt aceleași, ceea ce permite serverului NTP să comunice atât cu clienții NTP, cât și cu clienții SNTP.

Structura cadrului NTP

Serverele NTP, de regulă, au un singur port „apel” deschis - UDP 123. Cu o astfel de configurație, administratorul nu trebuie să-și facă griji în special cu privire la securitatea serverului, deoarece este practic impermeabil la atacurile programelor rău intenționate. Nu este mai puțin important să se asigure disponibilitatea serverului pe o singură platformă pentru clienți, altfel costul funcționării acestuia este irosit. Problema principală este numărul de solicitări care pot servi serverul NTP. Cu toate acestea, intrările în sine pot fi generate din mai multe motive.

Cea mai mare incidență a vandalismului NTP

La mijlocul anului 2003, cercetătorii de la Universitatea din Madison au descoperit un trafic de internet în creștere rapidă, care a fost direcționat către serverele publice NTP ale universității. Traficul este transmis către protocolul NTP, care constă din pachete de 76 de octeți, care sunt transmise la portul UDP 123. Cu toate acestea, aceste pachete au putere mică: indiferent de duhoarea provenită de la diferite nave, duhoarea a fost trimisă din portul numărul 23457.

Pentru a proteja serverele, a fost schimbată configurația routerelor, ceea ce a blocat majoritatea solicitărilor de intrare către serverele NTP; solicitările inițiale au fost deservite normal. Blocarea va elimina tot traficul UDP care poate fi trimis către serverul NTP de la portul 23457 la portul 123. Atacul DDoS, Versiune în limba engleză Distribuit Denial of Service, Vidmova în serviciu), organizat de adresa Vipadkovich, am eliminat pe Tsomo, permis, pludh este îndreptat de Kilkhokh Godin, yak zzovichai bouva la profesorul oti-ryn al riivnei profesionale de secară.

O lună mai târziu, a devenit clar că fluxul de trafic NTP de intrare a crescut semnificativ, atingând o valoare semnificativă de 250 de mii de pachete pe secundă, cu un volum de peste 150 Mbit/s. Blocând cu atenție accesul la anumite interfețe, personalul a început să primească pachete UDP, incluzându-le în schimb. Mirosurile păreau a fi intrările corecte în formatul SNTP versiunea 1, deși intensitatea sa ridicată de la gazda pielii nu a fost înțeleasă. De exemplu, în timpul unei perioade de descărcare a clienților inactiv, a fost generat aproximativ un ciclu pe secundă. Acest lucru ar fi foarte surprinzător pentru un client SNTP care funcționează normal. Programele care folosesc SNTP nu își instalează jurnalul de sistem cu acuratețea necesară, astfel încât gazda să aibă suficiente informații despre ora curentă.

Va umple ora în fiecare secundă pur și simplu fără atenție și va adăuga o vedere la distanță a comportamentului implicit al clientului NTP. Dacă aveți un trecător ocazional pe strada dvs. care cere o oră, este normal. Este posibil să continui să stai ore întregi acum, după cum știi, înainte de a fi încă atât de mulți oameni? Yakshto ce trivatime tizhnami? A devenit clar că trebuia să ne uităm la motivele a ceea ce se întâmplă.

Zhoden iz dzherel zapiv fără a fi în zona locală a complexului universitar. Aceasta a însemnat că pentru a investiga cauzele incidentului ar fi necesară asistența administratorilor de servere la distanță. Cele mai active adrese IP au fost selectate din doi clienți stabiliți la alte universități. Administratorilor seniori li s-a trimis o foaie care descrie problema și au fost rugați să noteze ce sisteme de operare și clienți SNTP pot rula pe aceste gazde și ce servicii ar putea accesa portul UDP 23457 de la aceștia.

Cablurile scoase conțineau informații despre cele care transportau trafic prin routere. Netgear(Zokrema, unul dintre ele este identificat ca model MR814). Acum apele au început să se umfle cu un fel de senzație. Numărul mare de gazde care folosesc același port poate fi explicat prin faptul că clientul SNTP a programat numărul portului. Cercetătorii de la Universitatea Madison au început să colecteze informații despre produsele Netgear care pretind că acceptă NTP. După ce a investigat codul, a devenit clar că operatorul pur și simplu a „cosut” în mod programatic informații despre serverele NTP. Adresă IP din Crimeea cu intervale rezervate pentru măsuri locale Ei au găzduit adrese IP globale de rutare, inclusiv serverul public NTP pentru Universitatea din Madison. Problema tricotării adresei IP globale a adresei IP globale a fost realizată de un server NTP real Viyavita, iar routerul Klint, fără a se bucura de Vidpovіdi pe SNTP, va reproduce Kozhnu pentru o secundă.

După ce au identificat cauzele inundației NTP, specialiștii în spyware ai universității au contactat producătorul routerului. Netgear a avut șansa să-și facă milă. Era clar că la acea vreme fuseseră deja vândute peste șapte sute de mii. dispozitive similare. Este greu de demonstrat că clădirea genera potențial trafic de 426 Mbps (700.000 de pachete UDP pe secundă, 76 de octeți fiecare), direcționând către același server NTP.

Pentru a aborda problema, a fost creat un grup cu participarea reprezentanților universității, a unui cercetător și a experților independenți. Doriți să vedeți versiunea corectată recent lansată? securitatea software-ului pentru dispozitivele care servesc drept contramăsuri la cod. Desigur, acest lucru nu a cauzat toate problemele - chiar și lansarea versiuni noi firmware-ul de către driver nu înseamnă înlocuirea totul cu dispozitive costisitoare, dintre care majoritatea nu erau suspectate probleme similare Oh. Tim nu este mai puțin, universitatea a decis să continue întreținerea dispozitivelor Netgear defecte, oferindu-le posibilitatea de a sincroniza înregistrarea sistemului (ceea ce se datorează celor 375.000 de dolari pe care Netgear i-a plătit Universității din Madison, după cum se pare, „pentru securitate sporită linii fără săgeți iar dezvoltarea limitei către complex va aduce beneficii universității”, este complet necunoscut autorului).

Un incident similar a avut loc în Australia. De data aceasta, participanții au fost laboratorul Organizației Naționale Mondiale de Cercetare din Australia (Commonwealth Scientific and Research Organisation, CSIRO) și lăcusta californiană proprietatea pietrei Rețele SMC. Importanța limită a serverelor CSIRO NTP (primul strat, dzherelo - anul cesium, altfel numit " atomic") a fost estimat la 200 kbit/s. Blocarea traficului, dintre care majoritatea venea peste ocean, a dus la faptul că dispozitivele SMC, conectate la serverul NTP, au început să oblige doi utilizatori să noteze datele. Din păcate, CSIRO a decis să schimbe adresele serverelor sale la momentul exact (după ce și-au anunțat anterior partenerii despre asta), iar furnizorii au început pur și simplu să blocheze aplicațiile de pe dispozitivele emise de Australia.

Cea mai vizibilă problemă de acest tip a început în 2005 și s-a numit apoi „ Vandalism NTP", care a devenit un termen popular pentru identificarea atacurilor asupra serverelor NTP. Apoi „marca neagră” a mers la serverul danez al stratului 1, conectat la rețeaua națională Danish Internet Exchange (DIX). Serverul se află într-unul dintre distribuitorii FreeBSD - Tabăra Napiv-Hening(Poul-Henning Kamp), și vreau să mă conformez cu instituțiile de stat și științifice, pe o bază necomercială. Regulile Vicorist spuneau direct că sincronizarea orei lui Vykoristan se poate face fără serverele NTP ale unui alt strat desfășurat în Danemarca și programe a căror funcționare va necesita un timp foarte precis.

Îngrijorarea a jucat rolul de vandal D-Link. Potrivit autorității de server NTP, 75% până la 90% dintre solicitări au fost generate de routerele D-Link. Când un număr de astfel de pachete transportau trei milioane pe zi, furnizorul i-a cerut Kampa să plătească cheltuielile, ceea ce a dus la creșteri semnificative ale traficului în valoare de 54.000 DKK (aproximativ 8.800 USD) pe fluviu.

Așa că, la fel ca și în cazul Universității din Madison, Camp a apelat la D-Link, așteptându-se la mai multe probleme și rezolvându-și pierderile financiare, fără niciun motiv. După ce a preluat de la Netgear, D-Link a început să observe prezența unor probleme în trecut, în legătură cu Campania de Sănătate. Confruntarea a continuat o vreme până când Kamp a dezvăluit toate detaliile incidentului. În cele din urmă, în anul 2006, părțile au ajuns la finaluri pașnice. S-a anunțat că produsele D-Link existente vor refuza accesul autorizat la serverul Kampa NTP, iar acum vor înceta să-l vikorizeze (latura financiară a afacerii este necunoscută, cu excepția anumitor estimări, înlocuirea serverelor de alimentare în oră, construirea de servicii pentru un astfel de trafic, ar costa D- Link este aproape de 1000 USD pe lună).

Solutii tehnice

Toate aceste episoade i-au determinat pe dezvoltatorii de protocoale de frontieră să se gândească la modalitățile prin care, pe lângă stabilirea diferitelor politici de acces, astfel de probleme ar putea fi evitate în viitor. Una dintre decizii au fost modificările aduse celei de-a patra versiuni a protocolului NTP, care au fost anunțate în 2006 și descrise în RFC 4330. Acestea includ extinderea semanticii câmpurilor din pachetul NTP pentru a permite serverului să trimită un pachet de bază special cu un nume romantic. sarutul mortii„(Kiss-o”-Moarte, KoD). Pentru un astfel de pachet, antetele vor fi completate cu o valoare specială - al doilea câmp suplimentar va fi setat la 3, câmpul care indică stratul serverului va fi setat la 0 și identificatorul de expediere va fi setat la un cod de 4 octeți indicând motivul. Acesta este cazul (în practică, codul RATE este încă blocat - inversarea frecvenței solicitărilor).

Livrarea unui astfel de pachet către client înseamnă că serverul a detectat că clientul a încălcat regulile de acces la cel nou, iar serviciul va fi furnizat clientului. Dacă este deconectat, clientul este responsabil pentru forțarea cererilor și pentru a încerca, dacă este necesar, să găsească un alt server NTP. Dacă clientul nu poate detecta un alt server NTP disponibil, trebuie să schimbe frecvența solicitării la serverul corespunzător conform algoritmului exponențial.

Documentul prezintă, de asemenea, principii recomandate, similare modului în care clientul NTP „corect” va formata intervale orare care indică frecvența solicitărilor către server și alte elemente ale infrastructurii back-end (inclusiv DNS și DHCP). Este planificat să se specifice adresele directe ale serverelor NTP în codul instalat al dispozitivului, relaxat Este recomandat să lucrezi numai după ce te înțelegi cu șefii tăi.

În principiu, astfel de inovații sunt în întregime rezonabile, deoarece utilitatea lor va fi posibilă numai dacă important O serie de servere și clienți NTP din rețeaua globală sunt pe deplin compatibile cu cea de-a patra versiune a protocolului NTP. Păcat că nu va fi posibil să conștientizăm în curând dezvoltarea acestei abordări (din punctul de vedere, una dintre „urme”, despre ce este vorba în Tabăra Acțiunilor, că atacul a fost bazat pe routerul D-Link, care se baza pe utilizarea protocolului SNTP versiunea 1).

In yakostі solutie tehnica, care vă permite să modificați în mod semnificativ cererea de vârf pe server la ora exactă, vă puteți referi la proiectul pool.ntp.org. Este un mare cluster virtual de servere NTP distribuite geografic (la momentul scrierii acestui articol, existau 1742 de servere de pe toate continentele). Proiectul în sine a fost lansat în 2003, devenind rodul unei discuții despre costurile semnificative necesare pentru regularizare și funcționare. servere de încredere la ora exactă, numărul de băuturi necesare pentru a servi clădirea în mod constant. Ideea din spatele ei sugerează chiar mecanismul recursiv de funcționare a serverelor DNS. Dacă serverul-server poștal al orei exacte este pur și simplu specificat ca server în forma 0.pool.ntp.org, atunci serverul real cu care va avea loc sincronizarea oră va fi selectat aleatoriu atunci când clientul caută în lista de servere care sunt incluse în piscină. Cu toate acestea, membrii grupului pot selecta independent servere regionale pentru ora exactă, specificând zona continentală sau pot selecta zona unei anumite regiuni (în funcție de cel mai apropiat server, sincronizarea este determinată mai precis), de exemplu - 0.ru .pool.ntp.org pentru Rusia ї. În acest caz, este necesar să ne amintim că tranzacțiile țărilor nu sunt reprezentate în pool, dar tranzacțiile sunt reprezentate de unul sau două servere (de exemplu, Malaezia). Bazinul victorios funcționează fără costuri, cu excepția companiilor de servicii care vibrează proprietatea produse software, solicitările NTP care sunt planificate să fie deservite pentru resurse suplimentare la pool.ntp.org.

Însăși ideea de a lansa un serviciu public de sincronizare cu o dată exactă fără a-i asigura stabilitatea și fiabilitatea în mințile extreme este puțin probabil să fie senzațională. Istoria știe că există multe aplicații ale serverelor NTP târzii din stratul 1 declarat, „informat” ora, care diferă de cea reală cu zeci (!) de secunde, sau pur și simplu au devenit inaccesibile pentru interogări. Un serviciu care vă permite să sincronizați data cu ora exactă este același lucru, dacă înțelegeți că fiabilitatea este la fel de importantă ca și acuratețea datelor. Ilustrația axei robotului real al serverului Mobatime Systems NTP:

Statistici de solicitare a serverului Mobatime Systems NTP

Acesta este un exemplu real de vandalism NTP - 1 aprilie 2009, 75 de gazde au fost blocate, care au trimis mai multe 12 milioane cerând mai mult. Această intensitate a atacului a fost de trei dB, iar natura sa poate fi explicată cu greu prin modificări banale ale codului dispozitivului sau configurație incorectă. Pentru a se proteja împotriva unor astfel de atacuri, serverele Mobatime NTP folosesc algoritmi de filtrare pentru traficul de intrare. Acest mecanism de protecție permite un flux de fluid asemănător unei avalanșe care poate aduce sistemul înapoi la capacitate maximă într-o oră scurtă.

Tim nu este mai puțin, o astfel de apărare va deveni practic inevitabilă, deoarece am obligat datele de pe canalul de transmisie să se apropie de el. construirea capacităţii. Cu un asemenea accent, trimiterea datelor către clienți legitimi, deblocați va deveni pur și simplu imposibilă prin epuizarea resurselor canalului. Singura cale de ieșire din situație, care garantează că vandalismul NTP nu va fi niciodată oprit, este crearea unui server non-public la momentul exact cu acces limitat. Pe baza managementului său fiabil al timpului (de exemplu, primirea datelor transmise de sistemul GPS), un astfel de server NTP va fi un furnizor stabil al serviciului de timp exact.

Lista materialelor care au fost cercetate pentru pregătirea publicației (în engleză):

RFC 4330, descrierea protocolului SNTP v4
Flawed Routers Flood University of Wisconsin Internet Time Server - un raport despre incidentul de la Universitatea din Wisconsin, publicat de creatorul de spioni Dave Plonka.
Network Devices Almost Take Down Atomic Clock - articol despre incidentul CSIRO
Când firmware-ul atacă! (DDoS de D-Link) - articol de Richard Clayton, care a luat parte la atacul asupra serverului NTP al lui Paul-Hening Camp
Materiale de pe site-ul web al organizației pool.ntp.org
Ajutați la salvarea serverelor de timp pe cale de dispariție - articolul lui Andy Lester despre pool.ntp.org

Nu știu! Vreau doar să-mi ia o oră fără să-mi fac griji! Spune-mi, cu amabilitate, ce să fac?

Este posibil să setați corect fusul orar și să selectați imediat actualizarea (fusul orar)? Amintește-ți bateria de la mama ta, pentru că este veche... pentru piele...
învață cum să furnizezi alimente.
Mâncarea din dreapta nu a ajuns niciodată: D

Tse tsikavo: